Команда исследователей из Калифорнийского университета в Беркли и университета Джорджтауна (округ Колумбия) наглядно продемонстрировала: взломать смартфон или другое мобильное устройство удаленно вполне возможно при помощи голосовых команд, транслируемых через видео-канал YouTube.



По словам экспертов, для того, чтобы получить доступ к управлению гаджетом, пользователю достаточно всего лишь просмотреть ролик. Скрытые голосовые команды, которые может содержать видеозапись, неуловимы для уха зрителя, но воспринимаются мобильными устройствами.

Исследователи акцентировали внимание на том, что видеозапись вовсе не обязательно просматривать на экране смартфона: достичь цели хакер может и «извне», когда ничего не подозревающий пользователь просматривает YouTube-ролики на любом соседнем устройстве — ноутбуке, компьютере, смарт-ТВ и пр. При этом голосовые команды все равно смогут достичь телефона, после чего он будет взломан.

Взлому по описанному сценарию подлежат как мобильные устройства на IOS, так и на Android. Приняв голосовую команду, которая для пользователя воспринимается как бессвязный набор звуков или не слышна вообще, электронный ассистент Google Now или Siri отдает команду для перехода по ссылке и загрузки вредоносного софта.

Таким образом, пока пользователь просматривает видео на своём компьютере или телевизоре, его смартфон может исполнять команды злоумышленника. Успешно осуществленная атака позволит хакерам получить удалённый доступ к мобильному устройству, загрузить на смартфон вредоносное ПО, подделать параметры конфигурации, завладеть конфиденциальными пользовательскими данными и пр. При этом в самом видео в этот момент могут звучать дополнительные шумы, поэтому пользователь даже не поймёт, что происходит, если случайно не посмотрит на смартфон.

По словам специалистов, обезопасить владельца мобильного устройства от подобной угрозы с вероятностью более 99.8% позволит активация на устройстве опции доставки уведомлений на получение и исполнение голосовых команд.

Это не первый случай взломов смартфонов через популярную платформу видеохостинга. Ранее сотрудники Техасского университета говорили о возможности взлома смартфона на Android при идентификации владельца. В поле разблокировки достаточно было ввести максимальное количество символов, после чего ОС выдавала ошибку и блокировка снималась. За обнаруженную «брешь» в защите смартфонов на Android, группа исследователей из Техаса получила денежное вознаграждение от разработчиков. Однако в этот раз ни одна из ведущих компаний — производителей мобильных устройств текущую ситуацию пока не прокомментировала.



zdnet.com
pdf версия c подробным описанием метода и эксперимента


На этом всё, с вами был Dronk.Ru. Не забывайте возвращать деньги за покупки в Китае и подписываться на наш блог, будет ещё много интересного.

image

Рекомендуем:
Экономим до 8% с каждой покупки на AliExpress и других интернет-магазинах Китая
Почему интернет-магазины отдают деньги за покупки?
Верните свои деньги — Выбираем кэшбэк-сервис для Aliexpress
История развития Dronk.ru — от выбора квадрокоптеров до возвращения денег за покупки на AliExpress и не только
Лучший кэшбэк сервис или 5 основных критериев оценки кэшбэк-сервиса
Поделиться с друзьями
-->

Комментарии (29)


  1. EndUser
    13.07.2016 08:13

    На моей версии ничего не вышло. Во-первых, Now не запускается без спросу. Во-вторых, наверное, старая версия.
    Но принцип любопытный и остроумный.

    Признаться, без демонстрации из других новостей я сначала подумал, что команды посланы вне акустического диапазона.


    1. alexeyborealis
      13.07.2016 14:07
      +1

      В настройках надо установить отклик на «okay Google» с любого экрана.
      Google settings — Search & Now — Voice — «Ok Google» detection.
      Не работает при выключенном экране.


      1. EndUser
        13.07.2016 14:21

        Проверял при открытом Google, включённом экране и опции слушать голосовую команду — в общем конфигурация, которая действительно распознаёт мой призыв «окей, гугл!»

        (В остальное время у меня гугл закрыт и на мой голос ничего не реагирует)


  1. braindamagedman
    13.07.2016 09:03

    Жутковато. Вспомнил про фильм «Четвертый вид»… Если бы я услышал такие команды где-нибудь — сразу бы убежал))


  1. ralllex
    13.07.2016 10:09
    +1

    Сериал «Светлячок»: «Это курам насмех!»


    1. Radmin
      13.07.2016 11:51
      +2

      Простите, но это было в полнометражке! :)


      1. ralllex
        13.07.2016 11:57

        Вы правы на все сто!


  1. Platon_msk
    13.07.2016 10:13

    Неделю назад, простудившись, я разговаривал почти таким голосом, какой они используют для «взлома». Меня тоже можно было назвать эксплуататором уязвимости?

    Только вот что это за уязвимость, если, как правило, тот же Google Now активируется по кнопке либо на смартфоне, либо на гарнитуре, либо через смарт часы?


    1. dron41k
      13.07.2016 10:18

      А как же окей гугл или привет, сири?


      1. Platon_msk
        13.07.2016 10:33

        Если у вас аккумулятор в рюкзаке, то опция постоянного прослушивания для распознавания «Ok, Google», возможно и включена. Но обычно для этого нужно, чтобы был запущен либо поисковик, либо сам «нау».


        1. Ruckus
          13.07.2016 10:50

          В настройках можно включить «OK Google» даже на экране блокировки и, вроде, с выключенным экраном.


          1. EminH
            13.07.2016 11:06

            по умолчанию так и есть


          1. Platon_msk
            13.07.2016 11:18

            Да, можно. Но если вы не хотите, чтобы аккумулятор телефона разрядился через пару часов, то вряд ли у вас эта опция включена. Что я и написал в предыдущем комментарии.


            1. Killan50
              13.07.2016 14:07

              Инфа о потреблении батарейки сильно преувеличенна, у меня пятый нексус и разница не более 20%.


            1. widestream
              13.07.2016 14:07

              у меня 6s и постоянно включенное «привет, Siri» на часах и телефоне. И за пару часов не разряжается:)


              1. dron41k
                13.07.2016 14:10

                В айфонах да, там же для этого специальный сопроцессор.


      1. ydaf
        13.07.2016 14:07

        Отключаемо.


  1. cazebo
    13.07.2016 11:19

    Шутки шутками, но на вопросе Джея про овцу у меня откликнулась лежащая рядом с колонками Сири из планшета:

    https://www.youtube.com/watch?v=uPwo-nHWQaM


  1. wiwrel
    13.07.2016 12:32

    А у меня похоже более старая версия (Lenovo P770, Android 4.1.1). Вообще никак не реагировал на звук из колонок, зато свободно реагировал на мой голос. Так что мне можно не опасаться за возможность такого взлома :)


  1. Alabastr
    13.07.2016 12:43

    Есть какая-то подстройка под голос же. На работе проверяли ( у всех правда андройд) — у всех устройства откликаются на хозяина и на меня. Мой голос подходил ко всем устройствам.


    1. FrostRus
      14.07.2016 00:26

      использую смарт в авто. ok google включен в фоновом режиме (даже при выключенном экране), чтобы можно было не отвлекаясь управлять плеером и навигацией. Так вот, мой «ok google» бывает распознается раза со 2-3 (несмотря на тренировку), а вот бормотание из радио или аудиокниг иногда триггерит помощника (хотя там вообще ничего похожего вроде как не произносили). С аудиокнигами вообще печально получается — приходится перематывать соответствующий фрагмент, т.к. при повторном прослушивании триггерится опять в 100% случаев. В общем, как-то слишком хитро у них там паттерн распознается


  1. Prame
    13.07.2016 14:08

    Звучит зловеще)


  1. zte189
    13.07.2016 14:08

    Я правильно понимаю, что если включено распознавание собственного голоса — то с большой вероятностью этот метод не сработает?


  1. MeX000
    13.07.2016 14:08
    +1

    У Вас первая группа голоса.


  1. glp84669
    13.07.2016 14:08

    Sony z1c… эксперимент провален… GN даже не запустился…


  1. strelokr
    13.07.2016 17:32
    +1

    была такая.Тема. смотрю телефон лежит на разядке а на экране открыт поиск гугл и моя последняя сказанная фраза. Сразу же залез в настройки гугл now и выключил срабатывание везде кроме когда явно не вызван голосовой поиск


  1. Ndividuum
    13.07.2016 22:19

    Провертел несколько раз видео, и тембр менял и громкость и подносил планшет в колонкам ближе — нулевой результат. При этом через пол комнаты с разблокированным экраном всегда успешно откликается на «Окей, Гугл».
    Что-то в этом демо пахнет жаренным.


  1. murzilka
    14.07.2016 13:05

    > Скрытые голосовые команды, которые может содержать видеозапись, неуловимы для уха зрителя

    Возможно, я чего-то не понимаю, но команды эти слышны вполне отчётливо.